通过RDP隧道绕过网络限制
|
副标题[/!--empirenews.page--]
远程桌面服务是Microsoft Windows的一个组件,各个公司都使用它来为系统管理员、工程师和远程员工提供便利。另一方面,远程桌面服务,特别是远程桌面协议(RDP),在目标系统感染期间为远程威胁行为者提供了同样的便利。 当先进的威胁行为者建立立足点并获得充足的登录凭据时,他们可能会从后门切换到使用直接RDP会话进行远程访问。 当恶意软件从目标机中移除时,入侵变得越来越难以检测。 一、RDP可避开规则 与非图形后门相比,威胁行为者更喜欢RDP的稳定性和功能性优势,但这可能会在系统上留下不必要的痕迹。由此,FireEye观察到使用本机Windows RDP程序的威胁行为者在受感染环境中跨系统进行横向连接。从历史上看,受防火墙和NAT规则保护的非暴露系统通常被认为不容易受到入站RDP尝试的影响;然而,威胁行为者越来越多地开始使用网络隧道和基于主机的端口转发来破坏这些企业控制策略。 网络隧道和端口转发利用防火墙“针孔”(不受防火墙保护的端口,允许应用程序访问受防火墙保护的网络中的主机上的服务)与被防火墙阻止的远程服务器建立连接。一旦通过防火墙建立了与远程服务器的连接,该连接就可以用作传输机制,通过防火墙发送或“隧道”本地侦听服务(位于防火墙内),使远程服务器可以访问它们(位于防火墙外面),如图1所示。
图1:使用RDP和SSH网络隧道绕过企业防级火墙的示例 二、入站RDP通道 用于隧道RDP会话的常用实用程序是PuTTY Link,通常称为Plink。Plink可用于使用任意源和目标端口与其他系统建立安全shell(SSH)网络连接。由于许多IT环境要么不执行协议检查,要么不阻止从其网络出站的SSH通信,因此FIN8等攻击者使用Plink创建加密隧道,允许受感染系统上的RDP端口与攻击者命令和控制进行通信(C2 )服务器。
图2提供了使用Plink创建的成功RDP隧道的示例,图3提供了使用来自攻击者C2服务器的端口转发建立隧道进行通信的示例。
图2:使用Plink创建的成功RDP隧道示例
图3:从攻击者C2服务器到受害者的成功端口转发示例 应该注意的是,对于能够对系统进行RDP的攻击者,他们必须已经能够通过其他方式访问系统,以便创建或访问必要的隧道程序。例如,攻击者的初始系统感染可能是从网络钓鱼电子邮件中释放有效载荷的结果,旨在建立立足点进入环境,同时获取凭据以提升权限。 RDP隧道进入受感染环境是攻击者通常用于维护其在环境中存在的众多访问方法之一。 三、跳转框Pivoting RDP不仅是外部访问受感染系统的完美工具,RDP会话还可以跨多个系统进行菊花链连接,以便在环境中横向移动。 FireEye观察到使用Windows Network Shell(netsh)命令的威胁行为者利用RDP端口转发作为访问新发现网段的方式,该网段仅通过管理跳转框可到达。
例如,威胁行为者可以配置跳转框以在任意端口上侦听从之前受感染系统发送的流量。然后,流量将通过跳转框直接转发到分段网络上的任何系统,使用任何指定端口,包括默认RDP端口TCP 3389。这种类型的RDP端口转发为威胁行为者提供了一种利用跳转框允许的网络路由的方法,在正在进行的RDP会话期间不会中断正在使用跳转框的合法管理员。 图4提供了通过管理跳转框到分段网络的RDP横向移动的示例。
图4:使用跳转框通过RDP进行横向移动到分段网络 四、预防和检测RDP 如果启用了RDP,威胁行为者可以通过隧道或端口转发来横向移动并保持在环境中的存在。为了减轻漏洞并检测这些类型的RDP攻击,机构应该关注基于主机和基于网络的预防和检测机制。有关其他信息,请参阅FireEye博客文章(establishing a baseline for remote desktop protocol)。 1. 基于主机的预防:
2. 基于主机的检测: (1) 注册表:
同样,使用以下Windows注册表项存储使用netsh创建PortProxy配置:
收集和查看这些注册表项可以识别合法的SSH和意外的隧道活动,当然需要进一步审查以确认其目的。 (2) 事件日志: (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
